數(shù)據(jù)中心安全圍繞數(shù)據(jù)為核心，從數(shù)據(jù)的訪問、使用、破壞、修改、丟失、泄漏等多方面維度展開，一般來說包括以下幾個(gè)方面：

• 物理安全：主要指數(shù)據(jù)中心機(jī)房的安全，包括機(jī)房的選址，機(jī)房場地安全，防電磁輻射泄漏，防靜電，防火等內(nèi)容；
• 網(wǎng)絡(luò)安全：指數(shù)據(jù)中心網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用以及基于網(wǎng)絡(luò)的各種安全相關(guān)的技術(shù)和手段，如防火墻，IPS，安全審計(jì)等；
• 系統(tǒng)安全：包括服務(wù)器操作系統(tǒng)，數(shù)據(jù)庫，中間件等在內(nèi)的系統(tǒng)安全，以及為提高這些系統(tǒng)的安全性而使用安全評(píng)估管理工具所進(jìn)行的系統(tǒng)安全分析和加固；
• 數(shù)據(jù)安全：數(shù)據(jù)的保存以及備份和恢復(fù)設(shè)計(jì)；
• 信息安全：完整的用戶身份認(rèn)證以及安全日志審計(jì)跟蹤，以及對(duì)安全日志和事件的統(tǒng)一分析和記錄；

　　拋開物理安全的考慮，網(wǎng)絡(luò)是數(shù)據(jù)中心所有系統(tǒng)的基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)安全從而成為數(shù)據(jù)中心安全的基礎(chǔ)支持。因此合理的網(wǎng)絡(luò)安全體系設(shè)計(jì)、構(gòu)建安全可靠的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺(tái)是進(jìn)行數(shù)據(jù)中心安全建設(shè)的基本內(nèi)容。

數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)原則

　　網(wǎng)絡(luò)是數(shù)據(jù)傳輸?shù)妮d體，數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)一般要考慮以下三個(gè)方面：

• 合理規(guī)劃網(wǎng)絡(luò)的安全區(qū)域以及不同區(qū)域之間的訪問權(quán)限，保證針對(duì)用戶或客戶機(jī)進(jìn)行通信提供正確的授權(quán)許可，防止非法的訪問以及惡性的攻擊入侵和破壞；
• 建立高可靠的網(wǎng)絡(luò)平臺(tái)，為數(shù)據(jù)在網(wǎng)絡(luò)中傳輸提供高可用的傳輸通道，避免數(shù)據(jù)的丟失，并且提供相關(guān)的安全技術(shù)防止數(shù)據(jù)在傳輸過程中被讀取和改變；
• 提供對(duì)網(wǎng)絡(luò)平臺(tái)支撐平臺(tái)自身的安全保護(hù)，保證網(wǎng)絡(luò)平臺(tái)能夠持續(xù)的高可靠運(yùn)行；

　　綜合以上幾點(diǎn)，數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)可以參考以下原則：

　　整體性原則：“木桶原理”，單純一種安全手段不可能解決全部安全問題；

　　多重保護(hù)原則：不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上；

　　性能保障原則：安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i；

　　平衡性原則：制定規(guī)范措施，實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡 ;

　　可管理、易操作原則：盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動(dòng)化，以減輕安全管理的負(fù)擔(dān)，同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮?duì)系統(tǒng)安全造成的威脅；

　　適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，避免因只滿足了系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙的情況發(fā)生；

　　高可用原則：安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則；

　　技術(shù)與管理并重原則：“三分技術(shù)，七分管理”，從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須有與之相適應(yīng)的管理制度同步制定，并從管理的角度評(píng)估安全設(shè)計(jì)方案的可操作性

　　投資保護(hù)原則：要充分發(fā)揮現(xiàn)有設(shè)備的潛能，避免投資的浪費(fèi)；

數(shù)據(jù)中心網(wǎng)絡(luò)安全體系設(shè)計(jì)

　　模塊化功能分區(qū)

　　為了進(jìn)行合理的網(wǎng)絡(luò)安全設(shè)計(jì)，首先要求對(duì)數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)，采用模塊化的設(shè)計(jì)方法，根據(jù)數(shù)據(jù)中心服務(wù)器上所部署的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能，將數(shù)據(jù)中心劃分為不同的功能區(qū)域。

　　采用模塊化的架構(gòu)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，并針對(duì)不同功能區(qū)域的安全防護(hù)要求來進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全設(shè)計(jì)。這樣的架構(gòu)設(shè)計(jì)具有很好的伸縮性，根據(jù)未來業(yè)務(wù)發(fā)展的需要，可以非常容易的增加新的區(qū)域，而不需要對(duì)整個(gè)架構(gòu)進(jìn)行大的修改，具備更好的可擴(kuò)展性。因?yàn)槊總€(gè)區(qū)域的安全功能是根據(jù)每個(gè)區(qū)域的特性進(jìn)行定義，因此可以在不影響其他應(yīng)用或者整個(gè)區(qū)域的情況下單獨(dú)進(jìn)行安全部署，對(duì)于一次性建設(shè)投資或分階段建設(shè)的情況下都可以很好進(jìn)行網(wǎng)絡(luò)安全的布局。

　　“核心-邊緣“安全邊界定義

　　采用模塊化的架構(gòu)設(shè)計(jì)方法將數(shù)據(jù)中心分為多個(gè)功能區(qū)域后，由于不同功能區(qū)域之間會(huì)有相互通訊的需求，因此整個(gè)網(wǎng)絡(luò)架構(gòu)形成“核心-邊緣”的結(jié)構(gòu)特性，以數(shù)據(jù)中心核心區(qū)為中心，其他功能區(qū)域與核心區(qū)相連，成為數(shù)據(jù)中心網(wǎng)絡(luò)的邊緣區(qū)域。為了更好的保證數(shù)據(jù)中心的網(wǎng)絡(luò)性能，數(shù)據(jù)中心核心區(qū)一般只提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)功能，不做安全控制的部署，在這個(gè)區(qū)域需要重點(diǎn)規(guī)劃的是核心區(qū)的高可靠和高性能保證。

　　在這種“核心-邊緣”的結(jié)構(gòu)特性下，各功能區(qū)域同核心區(qū)域相連的接口成為該區(qū)域的網(wǎng)絡(luò)安全邊界。從業(yè)務(wù)和安全控制的角度出發(fā)，在各功能區(qū)域的邊界需要采用一定的技術(shù)手段（通常部署防火墻硬件設(shè)備）定義成獨(dú)立的安全區(qū)域。不同安全區(qū)域之間的網(wǎng)絡(luò)如果需要相互訪問，應(yīng)該遵從有限互通的原則，按照不同功能區(qū)域之間安全信任級(jí)別的不同，在安全邊界上部署不同的訪問控制策略，禁止不同區(qū)域之間的網(wǎng)絡(luò)在不采取任何安全訪問控制的前提下直接互通。

　　“點(diǎn)、線、面”安全布局

　　安全邊界的定義實(shí)現(xiàn)了對(duì)不同區(qū)域之間相互訪問的控制，而各個(gè)功能區(qū)域內(nèi)根據(jù)安全保護(hù)等級(jí)的要求以及安全訪問的特性，需要分別設(shè)計(jì)各自的網(wǎng)絡(luò)安全布局。

　　“點(diǎn)、線、面”安全布局的核心思想是以對(duì)不同安全區(qū)域被訪問主體的訪問控制管理為安全防御主線，結(jié)合不同區(qū)域的安全級(jí)別和應(yīng)用要求，在安全訪問“線路”上部署不同的安全“點(diǎn)”設(shè)備，并且對(duì)整個(gè)數(shù)據(jù)中心區(qū)域規(guī)劃統(tǒng)一的安全事件發(fā)現(xiàn)、收集、分析、處理的機(jī)制和技術(shù)實(shí)現(xiàn)，實(shí)現(xiàn)安全“面”的統(tǒng)一管理。

　　這里以互聯(lián)網(wǎng)模塊區(qū)對(duì)外業(yè)務(wù)服務(wù)器的安全布局為例來說明“點(diǎn)、線、面”的安全布局方法。

　　對(duì)外業(yè)務(wù)服務(wù)器區(qū)域需要同Internet互聯(lián)來提供單位的網(wǎng)上交互業(yè)務(wù)（如金融單位的網(wǎng)銀業(yè)務(wù)，政府的網(wǎng)上報(bào)稅業(yè)務(wù)，企業(yè)的電子商務(wù)業(yè)務(wù)等），基本的網(wǎng)絡(luò)結(jié)構(gòu)，通過路由器與Internet相連（一般考慮到業(yè)務(wù)連接的可靠性，會(huì)部署多條出口線路），區(qū)域的核心交換機(jī)分別連接WEB、APP和DB服務(wù)器，并且同數(shù)據(jù)中心核心區(qū)交換機(jī)互聯(lián)。在這個(gè)區(qū)域的安全部署考慮如下：

　　確認(rèn)對(duì)該安全區(qū)域內(nèi)不同服務(wù)器的訪問控制策略：Web服務(wù)器允許被互聯(lián)網(wǎng)用戶訪問，同時(shí)也允許被內(nèi)網(wǎng)用戶和內(nèi)網(wǎng)服務(wù)器訪問；Web服務(wù)器允許訪問APP服務(wù)器，但是不允許訪問DB服務(wù)器；APP服務(wù)器智能被WEB服務(wù)器訪問，并且允許訪問DB服務(wù)器；DB服務(wù)器只能被APP服務(wù)器訪問。

　　分析不同訪問路線上需要關(guān)注的安全加固“點(diǎn)”和設(shè)備部署考慮。

　　基于上述的分析，在區(qū)域內(nèi)不同位置部署所需要的安全設(shè)備，形成功能區(qū)域內(nèi)的網(wǎng)絡(luò)安全布局。

　　前面通過對(duì)安全“線路”進(jìn)行分析，進(jìn)行安全設(shè)備“點(diǎn)”的部署，實(shí)現(xiàn)了互聯(lián)網(wǎng)業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全布局，同時(shí)，考慮到整個(gè)數(shù)據(jù)中心“面”上的安全統(tǒng)一管理，在綜合管理區(qū)部署安全管理中心設(shè)備，負(fù)責(zé)統(tǒng)計(jì)、關(guān)聯(lián)分析內(nèi)網(wǎng)各類網(wǎng)絡(luò)事件，從全局角度幫助數(shù)據(jù)中心網(wǎng)絡(luò)管理人員掌握整個(gè)網(wǎng)絡(luò)中的安全事件，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)中心安全訪問“線路”上的安全加固“點(diǎn)”進(jìn)行更加合理的布局和后續(xù)升級(jí)。

網(wǎng)絡(luò)的安全虛擬化

　　“點(diǎn)、線、面”的安全布局方式為了實(shí)現(xiàn)安全“點(diǎn)”的全面加固，需要部署大量的安全設(shè)備，從而會(huì)大大增加網(wǎng)絡(luò)結(jié)構(gòu)上單點(diǎn)故障的機(jī)率；同時(shí)為了保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性，所部署的安全設(shè)備要都要做可靠性考慮和相關(guān)協(xié)議的設(shè)置，使網(wǎng)絡(luò)部署的復(fù)雜度大幅增加，同時(shí)增大由于錯(cuò)誤配置導(dǎo)致網(wǎng)絡(luò)可靠性降低的可能。

　　業(yè)界目前的數(shù)據(jù)中心交換機(jī)在設(shè)計(jì)上支持豐富類型的安全業(yè)務(wù)板卡，可以將多種安全設(shè)備以板卡的形式安裝在網(wǎng)絡(luò)中的節(jié)點(diǎn)交換機(jī)上，實(shí)現(xiàn)網(wǎng)絡(luò)的安全虛擬化部署。

　　N:1的虛擬化部署

　　采用在數(shù)據(jù)中心網(wǎng)絡(luò)節(jié)點(diǎn)的交換機(jī)上部署安全業(yè)務(wù)板卡的方式，改變了過去在一條線路上部署多個(gè)安全設(shè)備（就像糖葫蘆串一樣）的物理結(jié)構(gòu)，將多個(gè)安全設(shè)備（N）集成在一臺(tái)數(shù)據(jù)中心交換機(jī)上，使得整個(gè)網(wǎng)絡(luò)線路得到大大的簡化，這種部署方式具有以下技術(shù)優(yōu)勢：

• 大大簡化了網(wǎng)絡(luò)安全區(qū)域的拓?fù)浣Y(jié)構(gòu)；
• 降低了由于安全設(shè)備單點(diǎn)故障對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)可用性的影響，如果某塊安全業(yè)務(wù)板卡出現(xiàn)故障問題，交換機(jī)會(huì)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)層面的二層回退，即數(shù)據(jù)流不再必經(jīng)通過出現(xiàn)故障的安全板卡進(jìn)行處理，而是直接由交換機(jī)進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā)，保證整個(gè)業(yè)務(wù)的不中斷；
• 一般獨(dú)立的安全設(shè)備無法提供設(shè)備本身的高可靠保證，而這種部署方式，借助網(wǎng)絡(luò)交換機(jī)本身的設(shè)備可靠性保障（引擎冗余，電源冗余，風(fēng)扇冗余等），大大提高了安全設(shè)備的可靠性運(yùn)行保證；
• 由于獨(dú)立的安全設(shè)備無法進(jìn)行性能升級(jí)，隨著數(shù)據(jù)中心網(wǎng)絡(luò)性能的提升，安全設(shè)備往往會(huì)成為整個(gè)網(wǎng)絡(luò)性能的瓶頸，采用業(yè)務(wù)板卡的部署方式，可以在一臺(tái)交換機(jī)上疊加多塊安全板卡，通過增加板卡的數(shù)量提升安全防護(hù)的性能，有效的保護(hù)已有投資，并且適應(yīng)網(wǎng)絡(luò)的性能發(fā)展。

　　基于N:1安全虛擬化的方式，前面舉例的對(duì)外業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全布局可以簡化，安全加固“點(diǎn)”的設(shè)備都集成在網(wǎng)絡(luò)節(jié)點(diǎn)交換機(jī)上，整個(gè)對(duì)外業(yè)務(wù)區(qū)的網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)得到大大的簡化。

　　1:N的虛擬化應(yīng)用

　　利用安全板卡的虛擬化特性，可以在一塊物理板卡上邏輯虛擬出來多個(gè)安全板卡的實(shí)例，并可以將不同的實(shí)例分配給不同的服務(wù)器連接線路，并單獨(dú)設(shè)定每個(gè)實(shí)例的安全配置屬性。在配置了安全板卡后，交換機(jī)的每一個(gè)業(yè)務(wù)接口都可以看成為安全板卡的業(yè)務(wù)接口，因此基于這種1:N的虛擬化特性和實(shí)現(xiàn)機(jī)制可以擴(kuò)大交換機(jī)的安全防范范圍，便于更細(xì)致的安全分區(qū)劃分，從而提高網(wǎng)絡(luò)安全部署的精細(xì)度。

結(jié)束語

　　數(shù)據(jù)中心的網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全體系的最基本環(huán)節(jié)，通過合理的網(wǎng)絡(luò)安全設(shè)計(jì)方法可以保證基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的安全可靠，并提供持續(xù)安全加固的擴(kuò)展性設(shè)計(jì)。但是要想構(gòu)建全面安全的數(shù)據(jù)中心，還需要數(shù)據(jù)安全、系統(tǒng)安全、信息安全等方面從其他的安全角度出發(fā)進(jìn)行相應(yīng)的安全規(guī)劃，不斷完善數(shù)據(jù)中心的安全防范等級(jí)。

　　（資料來源：H3C技術(shù)在線博客）